漏洞通告│Oracle JDeveloper 远程代码漏洞;Apache Shiro权限绕过漏洞

最新推荐文章于 2024-07-15 14:26:27 发布
最新推荐文章于 2024-07-15 14:26:27 发布
阅读量209 收藏
点赞数
分类专栏: java 文章标签: oracle apache 数据库 spring cloud rabbitmq
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Bejpse/article/details/126601899
版权

【漏洞通告】Oracle JDeveloper ADF Faces 远程代码执行漏洞

1、基础信息

CVE

CVE-2022-21445

等级

高危

类型

代码执行

2、漏洞详情

Oracle Fusion Middleware是一个全面的中间件产品系列,由甲骨文公司业界领先的SOA和中间件产品组成。

Oracle Fusion Middleware(组件:ADF Faces)的Oracle JDeveloper 12.2.1.3.0和12.2.1.4.0版本存在不安全的反序列化漏洞,未经身份认证的远程攻击者可利用该漏洞实现不可信数据的反序列化,可在受影响的服务器中执行任意代码。

3、影响范围

Oracle Oracle JDeveloper 12.2.1.4.0

Oracle Oracle JDeveloper 12.2.1.3.0

基于ADF Faces 框架开发的程序均可能受此漏洞影响,包括以下:

Oracle Business Intelligence

Oracle Enterprise Manager

Oracle Identity Management

Oracle SOA Suite

Oracle WebCenter Portal

Oracle Application Testing Suite

Oracle Transportation Management

Oracle Access Manager

4、安全建议

Oracle已在2022年4月补丁中修复此漏洞,受影响用户可及时下载更新。

5、参考链接

https://www.oracle.com/security-alerts/cpuapr2022.html

【漏洞通告】Apache Shiro RegExPatternMatcher 权限绕过漏洞

1、漏洞详情

CVE

CVE-2022-32532

等级

高危

类型

权限绕过

2、漏洞详情

2022年6月29日,Apache 官方披露 CVE-2022-32532 Apache Shiro 权限绕过漏洞。当Apache Shiro中使用RegexRequestMatcher进行权限配置,且正则表达式中携带"."时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。

3、影响范围

Apache Shiro < 1.9.1

4、安全建议

目前Apache官方已发布此漏洞修复版本,建议用户尽快升级至Apache Shiro 1.9.1及以上版本。http://github.com/apache/shiro/releases/tag/shiro-root-1.9.1。

5、参考链接

https://lists.apache.org/thread/y8260dw8vbm99oq7zv6y3mzn5ovk90xh

https://github.com/apache/shiro/releases/tag/shiro-root-1.9.1

Bejpse
关注
专栏目录
CVE-2020-1957 shiro权限绕过简单分析
qq_17622203的博客
03-21 6291
白嫖了腾讯云的服务器,用vulhub起的环境 参考: CVE-2020-1957--Shiro未授权访问_Anony吧的博客-CSDN博客_shiro未授权访问 Apache Shiro 认证绕过漏洞(CVE-2020-1957)_维梓梓的博客-CSDN博客 https://paper.seebug.org/1196/ 菜鸟教程 - 学的不仅是技术,更是梦想! 漏洞原因:我们请求的URL在整个项目的传入传递过程。在使用了shiro的项目,是我们请求的URL(URL1),进过shiro权限检验(U
shiro权限绕过
qq_46416934的博客
04-25 734
目录 shiro权限绕过 什么是shiro shiro权限绕过的原因 shiro权限绕过的限制条件 CVE-2016-6802 CVE-2020-1957 CVE-2020-11989 CVE-2020-13933 参考连接 shiro权限绕过 什么是shiro Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 shiro权限绕过的原
Oracle12c JDeveloper 安装JAR包和1.8版本JDK.zip
07-26
Oracle 12c JDeveloper是一款强大的集成开发环境(IDE),专为构建企业级应用程序而设计,尤其是Oracle数据库相关的应用。这个软件集成了多种工具,包括用于Java、Web、SOA、移动以及数据库开发的功能。在安装...
Oracle JDeveloper 10g免费开放给开发者.pdf
10-10
Oracle JDeveloper 10g是一款由Oracle公司推出的集成开发环境(IDE),专为Java开发者设计。此工具在2004年7月4日被宣布免费开放给所有开发者使用,这是OracleJava研发人员的一项重要承诺。Oracle JDeveloper 10g...
OA Framework How to Identify Required Oracle JDeveloper Patches
03-27
OA Framework How to Identify Required Oracle JDeveloper Patches For Oracle E-Business Release 12.x or 11i (Doc ID 416708.1)
Shiro权限绕过漏洞(CVE-2020-1957,CVE-2020-11989、CVE-2020-13933)
weixin_46411728的博客
07-22 1796
Shiro权限绕过漏洞(CVE-2020-1957,CVE-2020-11989、CVE-2020-13933)
Apache Struts 修复 OGNL 技术可能存在的 RCE 缺陷
smellycat000的专栏
12-11 398
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队Apache 软件基金会发布 Struts 2 安全更新,修复了一个和 OGNL 技术相关的“很可能存在远程代码执行“缺陷...
shiro 权限绕过(CVE-2020-1957)
最新发布
qq_23003811的博客
07-15 581
Apache Shiro是美国阿帕奇(Apache)软件基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。Shiro框架通过拦截器功能来对用户访问权限进行控制,如anon, authc等拦截器。anon为匿名拦截器,不需要登录即可访问;authc为登录拦截器,需要登录才可以访问。,修改any达到任意接口访问,原理是url遇到;分号只执行前面的链接,/../hello/1/作用是绕过权限验证。1、正常接口访问会重定向到登录页面,
Shiro权限绕过漏洞
qq_42947816的博客
02-03 3191
Apache Shiro 1.5.2以前的版本,在使用Spring动态控制器时,攻击者通过构造恶意Payload,可以绕过Shiro对目录的权限限制
shiro权限绕过漏洞
m0_67392931的博客
08-30 1316
漏洞可以用以下方法复现,首先在spring-context-shiro.xml,配置 /hello/* = authc;Apahce Shiro 由于处理身份验证请求时出错,存在权限绕过漏洞”(漏洞编号:CVE-2020-11989),远程攻击者可以发送特制的HTTP请求,绕过身份验证过程,并获得对应用程序的未授权访问。(2)删除shiro开头的jar包,集成单点登录的shiro-cas 不用删。注意:ant风格的路径仅出现一个*时才能成功,而**无法绕过。这里可以通过url双编码的方式或地址栏加;.
Shiro 授权绕过 (CVE-2022-32532)
qq_23003811的博客
07-12 199
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。 1.9.1 之前的 Apache Shiro,RegexRequestMatcher 可能被错误配置为在某些 servlet 容器上被绕过。在正则表达式使用带有 . 的 RegExPatternMatcher 的应用程序可能容易受到授权绕过
Shiro安全(四):Shiro权限绕过Shiro-782
weixin_43263451的博客
08-07 1966
刚好在学shiro安全,就看了看shiro权限绕过方面的洞学习一下shiro的配置与使用https://cloud.tencent.com/developer/article/1643122影响版本:shiro < 1.5.3添加shiro配置Shiro 的匹配规则是通过 AntPathMatcher 来进行实现的? 匹配一个字符 * 匹配一个或多个字符 ** 匹配一个或多个目录ps:这里的规则是 /admin/* 所以 Shiro 并不会对多个目录进行权限校验,例如:/admin/aaa/bbb 这
Shiro框架漏洞
m0_67393413的博客
03-28 4157
一、Shiro漏洞原理 Apache Shiro框架提供了记住我的功能(RemeberMe),用户登录成功后会生成经过加密并编码的cookie。 cookie的key为RemeberMe,cookie的值是经过对相关信息进行序列化,然后使用aes加密,最后在使用base64编码处理形成的 在服务端接收cookie值时,按以下步骤解析: 检索RemeberMe cookie的值 Base 64解码 使用ACE解密(加密密钥硬编码) 进行反序列化操作(未作过滤处理) 在调用反序列化的时候未进行任何过滤,导致
Shiro 权限绕过漏洞(CVE-2020-1957)
m0_67391270的博客
08-30 549
Spring Boot使用 Apache Shiro 进行身份验证、权限控制时,利用 Apache ShiroSpring Boot 对URL的处理的不同,实现越权访问。比如这个路径,在shiro看到“;”分号后,就会进行截断,校验分号前面路径/xxx/..这个路径并没有包含admin/**于是校验通过。Spring Boot看到此路径后,会直接取有效路径/admin/于是就访问成功了。参考:思考:为什么/xxx/..后面必须是两个点“.”...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值